Security Center では、Tencent Cloud、Huawei Cloud、Amazon Web Services (AWS)、Microsoft Azure などのサードパーティクラウドサービスプロバイダーの資産を追加して、一元的に保護および管理できます。このトピックでは、Security Center にサードパーティ資産を追加する方法について説明します。
追加方法
Security Center では、それぞれ異なるデータを収集する 2 つの方法でサードパーティ資産を追加できます。収集するデータに基づいて方法を選択してください。
方法 | 説明 | 収集するデータ |
この方法を使用してサードパーティ資産を追加すると、外部ホストタグが資産に追加され、Security Center は資産のサービスプロバイダーを識別できません。 | IP アドレス、ホスト名、オペレーティングシステムの種類、CPU コア数 | |
この方法により、Security Center は資産のサービスプロバイダーを識別し、[ホスト] ページに表示できます。 重要 この方法でサードパーティ資産を追加した後に Security Center の保護機能を使用するには、資産に Security Center エージェントをインストールする必要があります。 | IP アドレス、ホスト名、オペレーティングシステムの種類、CPU コア数、サードパーティクラウドの仮想プライベートクラウド (VPC)、資産ステータス、リージョン、サービスプロバイダー |
サードパーティアカウントの AccessKey ペアを使用する
Security Center は、サードパーティクラウドサービスプロバイダー用に作成されたアカウントの AccessKey ペアを使用して、サードパーティ資産に対する読み取り権限を取得し、その情報を同期します。これにより、Security Center を介してクラウド資産を一元的に保護および管理できます。
Tencent Cloud、Huawei Cloud、AWS の資産を Security Center に追加する
Security Center コンソール にログインします。 上部のナビゲーションバーで、管理する資産のリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
タブで、権限の新規付与 をクリックし、ドロップダウンリストから Tencent Cloud、Huawei Cloud、または AWS を選択します。
Add Assets Outside Cloud パネルで、指示に従ってクラウドサービスプロバイダーの RAM アカウントを作成し、サードパーティクラウドサーバーを Security Center に追加します。
サードパーティクラウドサービスプロバイダーのプラットフォームにログインし、RAM アカウントの AccessKey ペアを作成します。
手動設定プラン または Quick Configuration を選択できます。
(推奨) 手動設定プラン: サードパーティクラウドサービスプロバイダーの RAM アカウントを手動で作成し、RAM アカウントの AccessKey ペアを Security Center に付与します。
使用する Security Center の保護機能に基づいて、[権限の説明] で対応する機能を選択します。
[ホスト]: Security Center のサードパーティアカウントで Elastic Compute Service に対する読み取り権限を付与します。サードパーティクラウド資産のリスク評価や脅威防御などのセキュリティ機能を Security Center に提供する必要がある場合は、このパラメーターを選択してください。
[CSPM]: Security Center のサードパーティアカウントですべてのクラウド資産に対する読み取り権限を付与します。クラウドセキュリティポスチャ管理 (CSPM) 機能を使用してサードパーティクラウド資産をスキャンする必要がある場合は、このパラメーターを選択してください。
[CTDR]: Security Center のサードパーティアカウントですべてのクラウド資産に対する読み取り権限と一部のクラウド資産に対する書き込み権限を付与します。クラウド脅威検出および対応 (CTDR) 機能を使用して、サードパーティクラウド資産のログを一元管理し、応答を処理する必要がある場合は、このパラメーターを選択してください。
説明Security Center に追加できる資産の種類は、クラウドサービスプロバイダーによって異なります。以下に表示される種類が優先されます。
RAM アカウントに Security Center で必要な権限を付与する必要があります。そうしないと、Security Center はサードパーティ資産を保護できません。コンソールの指示に従って、RAM アカウントの権限を構成します。
Quick Configuration: Security Center が Alibaba Cloud アカウントの AccessKey ペアを使用することを承認すると、Security Center は RAM アカウントの AccessKey ペアを自動的に作成します。
説明この構成は、ホスト資産の保護のみをサポートしています。 CSPM および CTDR 機能はサポートしていません。
SubscriptionId ステップで、取得した AccessKey ペアとアカウント名を入力し、次へ をクリックします。
アカウント名は、同じクラウドサービスプロバイダーの異なるアカウントの資産を区別するために使用されます。目的に基づいて明確な意味を持つ名前を設定することをお勧めします。
監査ログの設定 ページで、サードパーティ資産のログデータを構成し、[次へ] をクリックします。監査ログを追加する必要がない場合は、[スキップ] をクリックします。
重要ログ監査の構成は、CSPM のクラウドインフラストラクチャ資格管理 (CIEM) のチェック項目に関するデータを取得するために不可欠です。これを構成しないと、Security Center はサードパーティ資産の CIEM 関連チェック項目を検出できません。
この構成項目は、Tencent Cloud 資産と AWS 資産に対してのみサポートされています。 Huawei Cloud 資産ではこの構成は不要です。
Tencent Cloud 資産のログ監査を構成する前に、Tencent Cloud コンソールでログトピックを作成し、カスタム権限構成を完了する必要があります。詳細については、「チェックするクラウドサービスを追加する」をご参照ください。
AWS 資産のログ監査を構成する前に、AWS コンソールで SQS キューを作成し、カスタム権限ポリシー構成を完了する必要があります。詳細については、「チェックするクラウドサービスを追加する」をご参照ください。
Tencent Cloud のサブアカウントを追加する場合は、取得した Kafka トピック名、Kafka パブリックエンドポイント、ログトピックのログセット ID を順番に入力します。
AWS のサブアカウントを追加する場合は、取得したリージョン ID と SQS キューの名前を順番に入力します。
[ポリシー構成] ページで、サードパーティ資産がデプロイされているリージョンとデータ同期頻度を構成し、OK をクリックします。
パラメーター
説明
リージョン選択
追加する資産が存在するリージョンを選択します。 Security Center は、コンソールの左上隅で選択したデータ管理センターに基づいて、サードパーティアカウント内の資産のデータを対応する管理センター (中国 または 全世界 (中国を除く)) に追加します。
リージョン管理
このオプションを選択すると、Security Center は、サードパーティアカウント内の指定されたリージョンに新しく作成された資産のデータを現在のデータ管理センターに自動的に同期します。
このオプションを選択しないと、新しく作成されたリージョンは保護のために Security Center に自動的に追加されません。
Host Asset Synchronization Frequency
Security Center がサードパーティクラウドサーバーのデータを自動的に同期する間隔を選択します。 [無効] を選択すると、データは同期されません。
説明[権限の説明] で [ホスト] を選択した場合は、このパラメーターを構成する必要があります。
クラウドプロダクトの同期頻度
Security Center がサードパーティクラウドサービスのデータを自動的に同期する間隔を選択します。 [無効] を選択すると、データは同期されません。
説明[権限の説明] で [CSPM] を選択した場合は、このパラメーターを構成する必要があります。
AK サービスのステータスチェック
Security Center がサードパーティアカウントの AccessKey ペアの有効性を自動的にチェックする間隔を選択します。 [無効] を選択すると、有効性はチェックされません。
最新のアセットの同期 をクリックして、サードパーティアカウント内の資産を Security Center に同期します。
資産の管理を承認された Alibaba Cloud アカウントの AccessKey ペアを使用する場合、Alibaba Cloud アカウントのすべての RAM アカウント内の資産のデータは Security Center に自動的に同期されます。
RAM アカウントの AccessKey ペアを使用する場合、RAM アカウント内の資産のデータは Security Center に自動的に同期されます。
Microsoft Azure から資産を追加する
Security Center コンソール にログインします。コンソールの左上隅で、保護する資産が配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
タブで、権限の新規付与 をクリックします。ドロップダウンリストで、追加するマルチクラウドサービスプロバイダー (Microsoft Azure) を選択します。
Add Assets Outside Cloud パネルで、指示に従って対応するクラウドサービスプロバイダーの RAM アカウントを作成し、サードパーティクラウドサーバーと Security Center の間の接続を確立します。
サードパーティクラウドサービスプロバイダーの RAM アカウントを作成します。
コンソールの指示に従ってください。サードパーティクラウドサービスプロバイダーのプラットフォームにログインし、Security Center 用の Microsoft Azure アカウントを手動で作成し、操作コマンドの実行結果から
appId、displayName、name、password、tenant情報を取得する必要があります。重要作成した RAM アカウントに Microsoft.Compute 権限リソースに対する読み取り専用権限を付与する必要があります。
SubscriptionId ウィザードページで、前のステップで取得した Enter an AppID、Enter a password、tenant、[ドメイン] を入力し、追加する資産タイプを選択して、次へ をクリックします。
サポートされている統合の資産タイプは [ホスト資産] で、これは Security Center のサードパーティクラウドプラットフォームアカウントで Elastic Compute Service に対する読み取り権限を付与することを示します。
監査ログの設定 ページで、サードパーティ資産のログデータを構成し、[次へ] をクリックします。 監査ログを追加する必要がない場合は、[スキップ] をクリックします。
重要ログ監査の構成は、CSPM のクラウドインフラストラクチャ資格管理 (CIEM) のチェック項目に関するデータを取得するために不可欠です。これを構成しないと、Security Center はサードパーティ資産の CIEM 関連チェック項目を検出できません。
この構成項目は、Tencent Cloud 資産と AWS 資産に対してのみサポートされています。 Huawei Cloud 資産ではこの構成は不要です。
Tencent Cloud 資産のログ監査を構成する前に、Tencent Cloud コンソールでログトピックを作成し、カスタム権限構成を完了する必要があります。 詳細については、「チェックするクラウドサービスを追加する」をご参照ください。
AWS 資産のログ監査を構成する前に、AWS コンソールで SQS キューを作成し、カスタム権限ポリシー構成を完了する必要があります。 詳細については、「チェックするクラウドサービスを追加する」をご参照ください。
Tencent Cloud のサブアカウントを追加する場合は、取得した Kafka トピック名、Kafka パブリックエンドポイント、ログトピックのログセット ID を順番に入力します。
AWS のサブアカウントを追加する場合は、取得したリージョン ID と SQS キューの名前を順番に入力します。
[ポリシー構成] ページで、サードパーティ資産がデプロイされているリージョンとデータ同期頻度を構成し、OK をクリックします。
パラメーター
説明
リージョン選択
追加する資産が存在するリージョンを選択します。 Security Center は、コンソールの左上隅で選択したデータ管理センターに基づいて、サードパーティアカウント内の資産のデータを対応する管理センター (中国 または 全世界 (中国を除く)) に追加します。
リージョン管理
このオプションを選択すると、Security Center は、サードパーティアカウント内の指定されたリージョンに新しく作成された資産のデータを現在のデータ管理センターに自動的に同期します。
このオプションを選択しないと、新しく作成されたリージョンは保護のために Security Center に自動的に追加されません。
Host Asset Synchronization Frequency
Security Center がサードパーティクラウドサーバーのデータを自動的に同期する間隔を選択します。 [無効] を選択すると、データは同期されません。
説明[権限の説明] で [ホスト] を選択した場合は、このパラメーターを構成する必要があります。
クラウドプロダクトの同期頻度
Security Center がサードパーティクラウドサービスのデータを自動的に同期する間隔を選択します。 [無効] を選択すると、データは同期されません。
説明[権限の説明] で [CSPM] を選択した場合は、このパラメーターを構成する必要があります。
AK サービスのステータスチェック
Security Center がサードパーティアカウントの AccessKey ペアの有効性を自動的にチェックする間隔を選択します。 [無効] を選択すると、有効性はチェックされません。
結果の確認
サードパーティ資産を Security Center に追加した後、アセットセンター ページで資産を表示できます。
ホスト資産タイプに基づいて追加された資産を表示する
ページに移動して、Security Center に追加されたサードパーティクラウドサーバーを表示できます。 詳細については、「サーバー資産」をご参照ください。
クラウド製品構成チェックタイプに基づいて追加された資産を表示する
ページに移動して、クラウド製品構成チェックタイプに基づいて Security Center に追加されたサードパーティ資産を表示できます。
資産を見つけて、[アクション] 列の 表示 をクリックすると、資産の基本情報と資産の構成チェック結果を表示できます。 詳細については、「クラウドサービスに関する情報を表示する」および「CSPM の概要」をご参照ください。
次のステップ
資産の管理を承認された RAM アカウントの AccessKey ペアを使用してサードパーティ資産を Security Center に追加する場合は、資産に Security Center エージェントをインストール する必要があります。 これにより、Security Center の保護機能を使用できます。
その他の操作
ページで、サードパーティクラウド資産の追加ポリシーを表示、変更、または削除できます。
ポリシーの右側にある
アイコンをクリックすると、ポリシーの権限情報とサービスステータスを表示できます。ポリシーの Service Status パラメーターは、ポリシーで指定されているすべての権限について Service Status パラメーターの値が正常である場合にのみ、正常と表示されます。権限のサービスステータスが異常な場合は、Service Status 列の
アイコンにポインターを合わせると、原因を確認できます。ポリシーまたは権限の 操作する 列の 変更 をクリックすると、AccessKey シークレット、資産タイプ、リージョンなど、ポリシーに関する情報を変更できます。
ビジネス要件に基づいて、ポリシーまたは権限を有効化、無効化、または削除できます。
ポリシーまたは権限を無効化または削除すると、Security Center はポリシーまたは権限に基づいてクラウドサービスプロバイダーの資産を同期しなくなります。